L’allarme arriva dal Computer Emergency Response Team dell'Agenzia per l'Italia Digitale (Cert-Agid) a seguito delle segnalazioni dei cittadini. È in corso una massiccia campagna di smishing, veicolata con un Sms che va dritto al punto: "Autostrade per l’Italia: risulta un pedaggio non saldato". Segue un minimo importo - di circa 6,50 euro - e il termine entro cui bisogna provvedere al saldo. E per chi volesse subito "togliersi il pensiero", c'è anche il link per il pagamento. I truffatori ci sanno fare, il messaggio chiude infatti con un laconico: "Se hai già pagato ignora questo SMS”.

Autostrade per l’Italia prende le distanze e specifica - in una nota pubblicata sul sito ufficiale - che la prassi per l’eventuale riscossione di pedaggi non pagati non prevede l’invio di sms. Un chiarimento necessario dal momento che sono migliaia le segnalazioni fasulle che gli hacker inviano agli italiani, secondo la tecnica del "spray and pray": il un bombardamento digitale che ‘spruzza ovunque, sperando che qualcuno caschi nella rete’. E più di qualcuno, purtroppo, ci casca. Il format ormai è noto: l’apparenza di un’azienda affidabile, un importo irrisorio, un termine stretto per rimediare a un presunto errore. 

Sei righe di testo in tutto, per un sms truffa che è la sintesi di un’operazione criminale in piena regola: il link nell’sms conduce a un portale ‘fake’ simile per grafica e menu alla piattaforma reale. All’utente viene chiesto di inserire dati ‘coerenti’ rispetto al mancato pedaggio autostradale: la targa del veicolo e poi i dati della carta per il pagamento del ‘dovuto’, che finisce però nelle tasche dei truffatori. Ma non finisce qui: cliccare sui link fake apre ‘una porta’ ai truffatori che possono clonare carte e identità, a volte inviare nel telefono dei malware o spyware pronti a saccheggiare ogni informazione utile. 

Ci sono diverse ‘red flag’, segnali di allarme, a cui si deve prestare attenzione: ad esempio il link contenuto nel messaggio è la copia sgrammaticata del sito ufficiale: “autostiade.com” o “autostiede/pay”, sono dominii che strizzano l’occhio all’originale, invertendo le lettere del nome, ma c’è anche il dettaglio del logo che ‘scimmiotta’ l’originale. Ma gli utenti sono distratti e spesso la fretta prende il sopravvento sulla prudenza.

La stessa Autostrade per l’Italia lo ha scritto nero su bianco: chi riceve sms sospetti può segnalarli, fare uno screenshot, inoltrare tutto alla Polizia postale. Ma anche chi è ‘cascato nell’inganno’ può correre ai ripari, bloccando la carta di credito attraverso la banca, avvisando le forze dell’ordine per denunciare il furto digitale. Le truffe di questo tipo sfruttano sempre lo stesso copione — fretta, minaccia, danno imminente — e attenzione: le richieste ‘urgenti’ di pagamenti possono nascondere inganni. 

 

Il CERT-AgID, la task force informatica dell’Agenzia per l’Italia digitale, parla di una «campagna massiccia» ancora in corso. Segno che la truffa del pedaggio è solo l’ultima evoluzione di un inganno globale: nessuno è troppo attento, nessuno troppo esperto per non essere tentato da un clic di troppo.